Dela via

Åtkomst till privat nätverk med virtuell nätverksintegrering för Azure Database for MySQL – flexibel server

  • Artikel

GÄLLER FÖR: Azure Database for MySQL – flexibel server

Den här artikeln beskriver alternativet för privat anslutning för Azure Database for MySQL – flexibel server. I detalj lär du dig begreppen för virtuella nätverk för Azure Database for MySQL – flexibel server för att skapa en server på ett säkert sätt i Azure.

Privat åtkomst (integrering av virtuellt nätverk)

Azure Virtual Network) är den grundläggande byggstenen för ditt privata nätverk i Azure. Integrering av virtuella nätverk med Azure Database for MySQL – flexibel server ger Azure fördelar med nätverkssäkerhet och isolering.

Med integrering av virtuella nätverk för en Azure Database for MySQL – flexibel serverinstans kan du låsa åtkomsten till servern till endast din virtuella nätverksinfrastruktur. Ditt virtuella nätverk kan innehålla alla program- och databasresurser i ett enda virtuellt nätverk eller sträcka sig över olika virtuella nätverk i samma region eller en annan region. Sömlös anslutning mellan olika virtuella nätverk kan upprättas genom peering, som använder Microsofts privata staminfrastruktur med låg svarstid och hög bandbredd. De virtuella nätverken visas som ett för anslutningsändamål.

Azure Database for MySQL – flexibel server stöder klientanslutning från:

  • Virtuella nätverk i samma Azure-region (lokalt peer-kopplade virtuella nätverk)
  • Virtuella nätverk i Azure-regioner (globala peer-kopplade virtuella nätverk)

Med undernät kan du segmentera det virtuella nätverket i ett eller flera undernät och allokera en del av det virtuella nätverkets adressutrymme som du sedan kan distribuera Azure-resurser till. Azure Database for MySQL – flexibel server kräver ett delegerat undernät. Ett delegerat undernät är en explicit identifierare som ett undernät endast kan vara värd för Azure Database for MySQL – flexibel serverinstanser. Genom att delegera undernätet får tjänsten direkt behörighet att skapa tjänstspecifika resurser för att hantera din Azure Database for MySQL – flexibel serverinstans sömlöst.

Kommentar

Det minsta CIDR-intervall som du kan ange för undernätet som värd för Azure Database for MySQL – flexibel server är /29, vilket ger åtta IP-adresser. Den första och sista adressen i något nätverk eller undernät kan dock inte tilldelas till någon enskild värd. Azure reserverar fem IP-adresser för intern användning av Azure-nätverk, inklusive de två IP-adresser som inte kan tilldelas till en värd. Detta lämnar tre tillgängliga IP-adresser för ett /29 CIDR-intervall. För Azure Database for MySQL – flexibel server måste du allokera en IP-adress per nod från det delegerade undernätet när privat åtkomst är aktiverad. HA-aktiverade servrar kräver två IP-adresser, och en icke-HA-server kräver en IP-adress. Vi rekommenderar att du reserverar minst två IP-adresser per Azure Database for MySQL– flexibel serverinstans, eftersom alternativ för hög tillgänglighet kan aktiveras senare. Azure Database for MySQL – flexibel server integreras med Azure Privat DNS-zoner för att tillhandahålla en tillförlitlig och säker DNS-tjänst för att hantera och matcha domännamn i ett virtuellt nätverk utan att behöva lägga till en anpassad DNS-lösning. En privat DNS-zon kan länkas till ett eller flera virtuella nätverk genom att skapa virtuella nätverkslänkar

Skärmbild av VNET för flexibel server MySQL.

I diagrammet ovan visas

  1. Azure Databases for MySQL – flexibel server-instanser matas in i ett delegerat undernät – 10.0.1.0/24 i det virtuella nätverket VNet-1.
  2. Program som distribueras i olika undernät i samma virtuella nätverk kan komma åt Azure Database for MySQL– flexibla serverinstanser direkt.
  3. Program som distribueras i ett annat virtuellt nätverk VNet-2 har inte direkt åtkomst till Azure Database for MySQL – flexibel serverinstanser. Innan de kan komma åt en instans måste du utföra en peering för ett virtuellt DNS-zonnätverk.

Begrepp för virtuellt nätverk

Här följer några begrepp som du bör känna till när du använder virtuella nätverk med Azure Database for MySQL – flexibel serverinstanser.

  • Virtuellt nätverk -

    Ett virtuellt Azure-nätverk innehåller ett privat IP-adressutrymme som konfigurerats för din användning. Gå till översikten över Azure Virtual Network om du vill veta mer om virtuella Azure-nätverk.

    Ditt virtuella nätverk måste finnas i samma Azure-region som din Azure Database for MySQL – flexibel serverinstans.

  • Delegerat undernät -

    Ett virtuellt nätverk innehåller undernät (undernät). Med undernät kan du segmentera det virtuella nätverket i mindre adressutrymmen. Azure-resurser distribueras till specifika undernät i ett virtuellt nätverk.

    Din Azure Database for MySQL – flexibel server-instans måste finnas i ett undernät som delegeras endast för Azure Database for MySQL – flexibel server. Den här delegeringen innebär att endast Azure Database for MySQL– flexibla serverinstanser kan använda det undernätet. Inga andra Azure-resurstyper kan finnas i det delegerade undernätet. Du delegerar ett undernät genom att tilldela dess delegeringsegenskap som Microsoft.DBforMySQL/flexibleServers.

  • Nätverkssäkerhetsgrupper (NSG)

    Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera vilken typ av nätverkstrafik som kan flöda in i och ut ur virtuella nätverk, undernät och nätverksgränssnitt. Mer information finns i översikten över nätverkssäkerhetsgruppen.

  • Privat DNS zonintegrering

    Med integrering av privata DNS-zoner i Azure kan du matcha den privata DNS i det aktuella virtuella nätverket eller ett peer-kopplat virtuellt nätverk i regionen där den privata DNS-zonen är länkad.

  • Peering för virtuella nätverk

    Med peering för virtuella nätverk kan du ansluta två eller flera virtuella nätverk i Azure sömlöst. De peerkopplade virtuella nätverken visas som ett för anslutningsändamål. Trafiken mellan virtuella datorer i peer-kopplade virtuella nätverk använder Microsofts staminfrastruktur. Trafiken mellan klientprogrammet och Azure Database for MySQL – flexibel server-instans i peer-kopplade virtuella nätverk dirigeras endast via Microsofts privata nätverk och är isolerad till det nätverket.

Använda Privat DNS zon

  • Om du använder Azure Portal eller Azure CLI för att skapa Azure Database for MySQL– flexibla serverinstanser med ett virtuellt nätverk, skapas en ny privat DNS-zon som slutar med mysql.database.azure.com automatiskt per server i din prenumeration med hjälp av det servernamn som angetts. Om du vill konfigurera en egen privat DNS-zon med Azure Database for MySQL Flexible Server-instansen kan du läsa dokumentationen om den privata DNS-översikten .

  • Om du använder Azure API, en Azure Resource Manager-mall (ARM-mall) eller Terraform skapar du privata DNS-zoner som slutar med mysql.database.azure.com och använder dem när du konfigurerar Azure Database for MySQL– flexibla serverinstanser med privat åtkomst. Mer information finns i översikten över den privata DNS-zonen.

    Viktigt!

    Privat DNS zonnamn måste sluta med mysql.database.azure.com. Om du ansluter till en flexibel Azure Database for MySQL-serverinstans med SSL och du använder ett alternativ för att utföra fullständig verifiering (sslmode=VERIFY_IDENTITY) med certifikatmottagarens namn använder <du servername.mysql.database.azure.com> i anslutningssträng.

Lär dig hur du skapar en Azure Database for MySQL – flexibel serverinstans med privat åtkomst (integrering av virtuellt nätverk) i Azure Portal eller Azure CLI.

Integrering med en anpassad DNS-server

Om du använder den anpassade DNS-servern måste du använda en DNS-vidarebefordrare för att matcha FQDN för Azure Database for MySQL – flexibel serverinstans. Vidarebefordrarens IP-adress ska vara 168.63.129.16. Den anpassade DNS-servern ska finnas i det virtuella nätverket eller nås via det virtuella nätverkets DNS Server-inställning. Mer information finns i namnmatchning som använder DNS-servern.

Viktigt!

För lyckad etablering av Azure Database for MySQL – flexibel serverinstans, även om du använder en anpassad DNS-server, får du inte blockera DNS-trafik till AzurePlatformDNS med hjälp av NSG.

Privat DNS zon och peering för virtuella nätverk

Privat DNS zoninställningar och peering för virtuella nätverk är oberoende av varandra. Mer information om hur du skapar och använder Privat DNS zoner finns i avsnittet Använd Privat DNS zon.

Om du vill ansluta till Azure Database for MySQL Flexible Server-instansen från en klient som etableras i ett annat virtuellt nätverk från samma region eller en annan region måste du länka den privata DNS-zonen till det virtuella nätverket. Se hur du länkar dokumentationen för det virtuella nätverket .

Kommentar

Endast privata DNS-zonnamn som slutar med mysql.database.azure.com kan länkas.

Ansluta från en lokal server till en Azure Database for MySQL – flexibel serverinstans i ett virtuellt nätverk med ExpressRoute eller VPN

För arbetsbelastningar som kräver åtkomst till en Azure Database for MySQL – flexibel serverinstans i ett virtuellt nätverk från ett lokalt nätverk behöver du ett ExpressRoute - eller VPN-nätverk och ett virtuellt nätverk som är anslutet till det lokala nätverket. Med den här konfigurationen på plats behöver du en DNS-vidarebefordrare för att lösa servernamnet Azure Database for MySQL – flexibel server om du vill ansluta från klientprogram (till exempel MySQL Workbench) som körs på lokala virtuella nätverk. DNS-vidarebefordraren ansvarar för att matcha alla DNS-frågor via en vidarebefordrare på servernivå till DNS-tjänsten som tillhandahålls av Azure, 168.63.129.16.

För att konfigurera korrekt behöver du följande resurser:

  • Ett lokalt nätverk.
  • En Azure Database for MySQL – flexibel serverinstans som etablerats med privat åtkomst (integrering av virtuellt nätverk).
  • Ett virtuellt nätverk som är anslutet till lokalt.
  • En DNS-vidarebefordrare 168.63.129.16 distribuerad i Azure.

Du kan sedan använda Azure Database for MySQL – flexibel servernamn (FQDN) för att ansluta från klientprogrammet i det peerkopplade virtuella nätverket eller det lokala nätverket till Azure Database for MySQL – flexibel serverinstans.

Kommentar

Vi rekommenderar att du använder det fullständigt kvalificerade domännamnet (FQDN) <servername>.mysql.database.azure.com i anslutningssträng när du ansluter till din Azure Database for MySQL – flexibel serverinstans. Serverns IP-adress är inte garanterad att förbli statisk. Med hjälp av FQDN kan du undvika att göra ändringar i din anslutningssträng.

Scenarier för virtuella nätverk som inte stöds

  • Offentlig slutpunkt (eller offentlig IP-adress eller DNS) – En Azure Database for MySQL– flexibel serverinstans som distribueras till ett virtuellt nätverk kan inte ha någon offentlig slutpunkt.
  • När Azure Database for MySQL – flexibel server-instans har distribuerats till ett virtuellt nätverk och undernät kan du inte flytta den till ett annat virtuellt nätverk eller undernät. Du kan inte flytta det virtuella nätverket till en annan resursgrupp eller prenumeration.
  • Privat DNS integreringskonfigurationen kan inte ändras efter distributionen.
  • Det går inte att öka storleken på undernätet (adressutrymmen) när resurser redan finns i undernätet.

Azure Database for MySQL – flexibel server kan övergå från privat åtkomst (integrerat virtuellt nätverk) till offentlig åtkomst, med alternativet att använda Private Link. Den här funktionen gör det möjligt för servrar att växla från det virtuella nätverket integrerat till privat länk/offentlig infrastruktur sömlöst, utan att behöva ändra servernamnet eller migrera data, vilket förenklar processen för kunderna.

Kommentar

Att när övergången har gjorts kan den inte vändas. Övergången innebär en stilleståndstid på cirka 5–10 minuter för icke-HA-servrar och cirka 20 minuter för HA-aktiverade servrar.

Processen utförs i offlineläge och består av två steg:

  1. Koppla från servern från den virtuella nätverksinfrastrukturen.
  2. Upprätta en privat länk eller aktivera offentlig åtkomst.

Relaterat innehåll